-
Microsoft Secure Channel
Con l’aggiornamento del patch tuesday di questo mese Microsoft corregge un problema di sicurezza molto serio di Secure Channel (Schannel), la sua libreria per la connessione sicura. Schannel è per Microsoft quello che per l’open source si chiama OpenSSL e per Apple si chiama Secure Transport. In sostanza è quella serie di routine (libreria) che permette…
-
POODLE
POODLE (Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account. L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996 poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da…
-
Prima versione di LibreSSL
È stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1. LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro. Il codice di OpenSSL ha sulle spalle una lunga storia di…
-
OpenSSL e software open
Sono state scoperte e corrette altre sei vulnerabilità di OpenSSL. Enfasi su “corrette”. Dopo Heartbleed qualcuno ha dubitato della bontà del software open, altri hanno visto quel problema come un argomento a favore di una circolazione limitata dei sorgenti. Sono argomenti facilmente confutabili con l’esperienza della storia e le basi della sicurezza informatica.
-
SMTP STARTTLS in crescita
Un rapporto di Facebook dimostra che la cifratura della posta elettronica ha raggiunto una “massa critica”. Questa è senza dubbio una buona notizia per la tutela dei dati personali perché il normale protocollo SMTP, figlio di quando Internet era un’altra cosa, dialoga in chiaro. L’estensione STARTTLS consente anche ad SMTP di passare ad una connessione cifrata…
-
Heartbleed: anche le password
Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti. Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze…
-
Heartbleed: non solo i server
Quando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server. Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂 Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme. I programmi client utilizzano le…
-
Heartbleed
Heartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse. OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.…
-
Testimonianza di Snowden al Parlamento Europeo
Lo scorso dicembre la Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo ha inviato ad Edward Snowden alcune domande nell’ambito dell’inchiesta sulla sorveglianza di massa dei cittadini europei. Snowden ha deciso di partecipare con una diretta video, che non è ancora stata resa pubblica, ma è disponibile una trascrizione di domande e…
-
Perfect Forward Secrecy
Il protocollo HTTPS come è implementato da molti siti o browser ha un problema con il futuro. Ipotizzando che qualcuno stia registrando tutto il traffico HTTPS di un sito adesso potrebbe solamente avere in mano dei dati illeggibili. Ma cosa succederebbe se venisse trafugata la chiave segreta, oppure se un domani i computer riuscissero in poche…